Je ne peux pas configurer une connexion Site-to-Site VPN. Que puis-je faire ?

Je ne peux pas configurer une connexion Site-to-Site VPN. Que puis-je faire ?

Certains articles ont été traduits automatiquement à partir de l'anglais et peuvent contenir des inexactitudes ou des erreurs de grammaire.

Symptômes

Vous avez configuré un Site-to-Site VPN via VPN Plus Server , mais l'état indique systématiquement connecté au lieu de connecté .

Solution

  1. Configurer les règles de transmission des ports

    Les ports 500 et 4500 (pour le protocole IPSec) doivent être ouverts sur les deux périphériques Synology Router pour que le service Site-to-Site VPN fonctionne. Si l'un des Synology Router est situé derrière un périphérique NAT (par ex., un routeur ou un commutateur), des règles de transmission des ports sont nécessaires pour transférer les paquets du périphérique NAT vers le Synology Router.

    Si le périphérique NAT est également un Synology Router, reportez-vous à cet article pour obtenir des instructions détaillées sur la configuration des règles de transmission des ports.

  2. Confirmer que le service VPN n'est pas transmis aux clients

    Des problèmes de connexion peuvent survenir si l'un des paramètres suivants est utilisé :

    • Synology Router dispose de règles de transmission des ports configurées pour router les paquets vers les ports 500 ou 4500 des clients réseau.
    • Synology Router a DMZ activé et l'hôte DMZ est affecté à un client réseau.
    • UPnP (Universal Plug and Play) est activé sur un ou plusieurs clients réseau, ce qui transfère automatiquement les paquets du routeur vers le port 500 ou 4500.

    Pour résoudre les problèmes de connexion :

    • Accédez à SRM > Centre réseau > Transmission de port > Transmission de port et supprimez les règles de transmission de port sur vos périphériques Synology Router .
    • Accédez à SRM > Centre réseau > Transmission de port > DMZ et désactivez DMZ sur vos périphériques Synology Router .
    • Désactivez UPnP sur les clients réseau.

  3. 1.png

  4. Ajouter une règle de pare-feu

    Pour garantir la connectivité Site-to-Site VPN, assurez-vous que votre pare-feu ne bloque pas la connexion VPN, en particulier si l'option Si le trafic IPv4/IPv6 WAN-to- SRM ne correspond à aucune règle est définie sur Refuser . Pour autoriser les connexions à vos périphériques Synology Router via le tunnel Site-to-Site VPN, procédez comme suit pour ajouter une règle de pare-feu :

    1. Accédez à SRM > Centre réseau > Sécurité > Pare -feu.
    2. Cliquez sur Créer .
    3. Dans la section Nom , saisissez un nom pour la règle de pare-feu.
    4. Dans la section Protocole , sélectionnez UDP .
    5. Dans la section Source , sélectionnez Tous à la fois pour l'Adresse IP et les Ports .
    6. Dans la section Destination , sélectionnez les options suivantes :
      • Adresse IP : sélectionnez SRM .
      • Ports : cochez la case Sélectionner dans une liste d'applications intégrées , cliquez sur Sélectionner , puis cochez la case VPN Plus Server (IPsec) .
    7. Dans la section Action , sélectionnez Autoriser .
    8. Cliquez sur OK , puis sur Enregistrer pour terminer.

    Pour obtenir des instructions détaillées sur les configurations de pare-feu sur SRM, reportez-vous à cet article .

    2.png

  5. Vérifier la fonctionnalité DNS si vous utilisez DDNS pour configurer VPN

    VPN Plus Server vous permet d'utiliser Synology DDNS (Dynamic Domain Name Service) pour identifier les emplacements de vos périphériques Synology Router (à l'aide de Local ID et Remote ID ) pendant la configuration Site-to-Site VPN. Si vous utilisez DDNS mais que vous rencontrez des problèmes de connexion Site-to-Site VPN, suivez ces étapes de dépannage :

    • Si vous utilisez à la fois DDNS et IPv6 pour les configurations Site-to-Site VPN sur l'un de vos périphériques Synology Router , désactivez temporairement IPv6 en accédant à SRM > Centre réseau > Réseau local > IPv6 . Reconfigurez ensuite Site-to-Site VPN et essayez de vous reconnecter.
    • Essayez de connecter vos périphériques Synology Router à l'aide de leurs adresses IP externes (par exemple, 210.61.203.200) et de DDNS pendant la configuration de Site-to-Site VPN. Si la connexion via l'adresse IP externe fonctionne correctement mais que le DDNS ne fonctionne pas, essayez d'utiliser le DNS « 8.8.8.8 » de Google comme serveur DNS préféré. Pour configurer le serveur DNS, accédez à SRM > Centre réseau > Internet > Connexion sur les deux périphériques Synology Router , puis configurez à nouveau Site-to-Site VPN.

  6. Assurez-vous que votre Site-to-Site et votre L2TP VPN utilisent des clés pré-partagées différentes

    Le protocole IPsec est requis pour configurer à la fois Site-to-Site VPN et L2TP VPN sur un Synology Router. Évitez d'utiliser la même clé pré-partagée (PSK) pour les deux types de connexion VPN.

  7. Saisir les informations correctes lors de la configuration

    Assurez-vous que les informations saisies pour la configuration Site-to-Site VPN sont exactes et cohérentes sur les deux périphériques Synology Router . Si l'état reste « Connexion » au lieu de « Connecté » après la configuration, vérifiez les informations de configuration et reconfigurez Site-to-Site VPN.

  8. Assurez-vous que les sous-réseaux VPN des deux sites ne se recouvrent pas

    Assurez-vous que les sous-réseaux VPN des deux sites ne se recouvrent pas.

    Si votre réseau Site-to-Site VPN a été correctement configuré après avoir suivi toutes les étapes ci-dessus, mais que vous ne pouvez toujours pas envoyer de requête Ping aux périphériques déployés sur le réseau local de l'autre site, reportez-vous à cet article pour plus d'informations.

Symptômes
Solution
Configurer les règles de transmission des ports
Confirmer que le service VPN n'est pas transmis aux clients
Ajouter une règle de pare-feu
Vérifier la fonctionnalité DNS si vous utilisez DDNS pour configurer VPN
Assurez-vous que votre Site-to-Site et votre L2TP VPN utilisent des clés pré-partagées différentes
Saisir les informations correctes lors de la configuration
Assurez-vous que les sous-réseaux VPN des deux sites ne se recouvrent pas